1 リスク対応計画を策定する。経営陣の適切な活動,経営資源,必要資金,役割責任体制,優先順位を特定し「誰が」「何を」「いつまでに」実現していくかを明確しリスク対応計画を実施する。
2 適用宣言書で選択した管理策を実施する。
3 管理策の有効性測定とその測定の利用を規定する文書を作成する。測定は比較可能で再現可能であること。
4 情報セキュリティ教育・訓練を実施する。
5 ISMSの運用を管理する。
6 情報セキュリティ事象の検知
7 セキュリティインシデントに対応する手順を実施する。
